免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: 草中宝
打印 上一主题 下一主题

[网络管理] 咨询一个数据包网络跳转的问题 [复制链接]

论坛徽章:
2
操作系统版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-15 06:20:00
11 [报告]
发表于 2014-07-22 21:11 |只看该作者
Gallop_hu 发表于 2014-07-13 23:15
回复 8# phanx


本人对IPTABLES不了解,对网络不了解,让你见笑了。

论坛徽章:
2
操作系统版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-15 06:20:00
12 [报告]
发表于 2014-07-22 21:21 |只看该作者
为了惠及更加多不熟悉iptables的朋友,我把我的测试也简单的做个备注吧

1、phanx 给的脚本,是加在103上的。
2、102和104上的iptables要关掉或者开放相应的端口。
3、nc包可能要自己安装,我用的版本是 nc-1.84-22.el6.x86_64.rpm
4、我用局域网测试,103上的/etc/sysconfig/iptables内如如下

[root@S103 /]# cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
# 下面六行是加入的
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 5000 -j DNAT --to-destination 90.0.12.104:5000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 5000 -j SNAT --to-source 90.0.12.103
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j DNAT --to-destination 90.0.12.102:5000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j SNAT --to-source 90.0.0.103
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

# 下面两行是加入的
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 5000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 5000 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

# 下面四行是加入的
-A FORWARD -p tcp -d 90.0.12.102 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 5000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --dport 5000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 5000 -m state --state ESTABLISHED,RELATED -j ACCEPT


-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

5、我是用局域网IP成功做测试的,不知道因特网的IP如何在模拟器下模拟。

论坛徽章:
2
操作系统版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-15 06:20:00
13 [报告]
发表于 2014-07-22 21:24 |只看该作者
还有个问题,就是104上的监听,可能很快就退出,原因不明。

论坛徽章:
0
14 [报告]
发表于 2014-07-22 21:25 |只看该作者
草中宝 发表于 2014-07-22 21:11
本人对IPTABLES不了解,对网络不了解,让你见笑了。

其实我也是菜鸟,共同努力。。我看iptables也是看了好久。。。看明白了后觉得简单,但是实际上还是有不明白的东西

论坛徽章:
12
技术图书徽章
日期:2014-07-11 16:27:5215-16赛季CBA联赛之山西
日期:2016-01-08 16:10:11操作系统版块每日发帖之星
日期:2015-08-01 06:20:002015亚冠之武里南联
日期:2015-06-11 01:12:162015年亚洲杯之阿联酋
日期:2015-03-20 11:41:462015年亚洲杯纪念徽章
日期:2015-03-18 18:08:422015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-10 22:23:32天秤座
日期:2014-08-20 15:53:35水瓶座
日期:2014-08-11 12:08:51午马
日期:2014-07-23 23:03:38IT运维版块每日发帖之星
日期:2016-02-18 06:20:00
15 [报告]
发表于 2014-07-23 02:20 |只看该作者
回复 12# 草中宝


    局域网IP和公网IP没有任何区别。  IP只是个代号而已。
    这个问题,还有不清楚的地方,去看我写的blog。

    http://blog.chinaunix.net/uid-7549563-id-4353034.html

论坛徽章:
2
操作系统版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-15 06:20:00
16 [报告]
发表于 2014-08-11 17:11 |只看该作者
phanx 发表于 2014-07-23 02:20
回复 12# 草中宝


不好意思,再咨询下,上面的端口都是5000,如果A、B、C三台服务器监听的端口都不一样,如A机器(90.0.12.102)是2000,B机器(90.0.12.103)是3000,C机器(90.0.12.104)是4000,该怎么修改这个脚本呢。我试着修改了几次,通信都不通。我修改的脚本如下

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.104:4000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 4000 -j SNAT --to-source 90.0.12.103:3000
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.102:2000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.102 --dport 2000 -j SNAT --to-source 90.0.12.103:3000
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp -d 90.0.12.102 --dport 2000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 2000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --dport 4000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 4000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

论坛徽章:
12
技术图书徽章
日期:2014-07-11 16:27:5215-16赛季CBA联赛之山西
日期:2016-01-08 16:10:11操作系统版块每日发帖之星
日期:2015-08-01 06:20:002015亚冠之武里南联
日期:2015-06-11 01:12:162015年亚洲杯之阿联酋
日期:2015-03-20 11:41:462015年亚洲杯纪念徽章
日期:2015-03-18 18:08:422015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-10 22:23:32天秤座
日期:2014-08-20 15:53:35水瓶座
日期:2014-08-11 12:08:51午马
日期:2014-07-23 23:03:38IT运维版块每日发帖之星
日期:2016-02-18 06:20:00
17 [报告]
发表于 2014-08-11 17:36 |只看该作者
回复 16# 草中宝

看来你还是没有理解喔。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
-A PREROUTING -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.104:4000
-A POSTROUTING -p tcp -s 90.0.12.102 -d 90.0.12.104 --dport 4000 -j SNAT --to-source 90.0.12.103:3000
                                                                                                           这里应该是 --to-source 90.0.12.103
-A PREROUTING -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j DNAT --to-destination 90.0.12.102:2000
-A POSTROUTING -p tcp -s 90.0.12.104 -d 90.0.12.102 --dport 2000 -j SNAT --to-source 90.0.12.103:3000
                                                                                                           这里应该是 --to-source 90.0.12.103
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.102 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 90.0.12.104 -d 90.0.12.103 --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5901 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp -d 90.0.12.102 --dport 2000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.102 --sport 2000 -m state --state ESTABLISHED,RELATED -j ACCEPT
         这里应该是       -d 90.0.12.104
-A FORWARD -p tcp -d 90.0.12.104 --dport 4000 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p tcp -d 90.0.12.104 --sport 4000 -m state --state ESTABLISHED,RELATED -j ACCEPT
         这里应该是       -d 90.0.12.102
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

论坛徽章:
2
操作系统版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-15 06:20:00
18 [报告]
发表于 2014-08-13 20:39 |只看该作者
phanx 发表于 2014-08-11 17:36
回复 16# 草中宝

看来你还是没有理解喔。


谢谢 phanx ,看了下phanx的签名,佩服得紧。

确实还是弄不太明白。我先消化几天。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP